【安全播报】下载游戏导致浏览器主页被强行篡改，玩家缘何“痛心疾首”？

随着近些年来电竞游戏的持续风靡，越来越多的用户习惯把茶余饭后的时间交给这些“氪肝杀手”。很多玩家由于尝鲜心切，常常会在不同游戏下载渠道中进行下载安装，但却并不会注意到游戏下载过程中的安全隐患。如若经历过一次中毒体验，相信分分钟会让你往后的游戏生涯，闻“毒”色变。

以资深玩家自称的小王今年15岁，由于酷爱电脑游戏，每个周末会在繁忙的游戏时间里挤出极少的时间用来学习，所以小王的游戏时间常常遭到父母的强加看管。但由于与父母斗智斗勇多年，其早已深谙如何在偷偷游戏后迅速关机，快速帮电脑屏幕降温等秘诀。近日，游虎网(hxxp://dj.dianjinghu.com）上架的一款之前盛传已久的游戏《怪物猎人:世界》点燃了他的体验欲望，然而在点开安装程序以后，才发现自己的浏览器主页及默认搜索页、浏览器收藏夹等信息均被恶意篡改。




那么问题来了，小王这次的玩游戏行为会被父母发现么？显然，答案是肯定的——毕竟如果连浏览器主页被修改都发现不了，那只有可能是他的爸爸从来都没打开过浏览器。

多款游戏成劫持木马藏身之所

计算机浏览器沦为受害重灾区

其实，小王的遭遇并非个例，其源于最近所流行的一种劫持木马病毒。经360安全大脑监测及溯源发现，该木马传播者对《孤岛惊魂5》、《怪物猎人：世界》、《极品飞车20》、《鬼泣5》、《边缘世界》等知名游戏进行二次打包并加入木马程序，然后通过游虎游戏网(hxxp://dj.dianjinghu.com)进行传播。经深度分析后发现，该木马具备劫持浏览器主页及默认搜索页、获取浏览器历史记录、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器Cookie等众多恶意行为，其主要执行流程如下：

首先，游戏安装完用户点击桌面游戏快捷方式开始游戏后后首先会请求hxxp://down.qm188[.]com/yhlock.7z得到了一个采用AES加密的压缩包文件yhlock.7z， 该压缩包经过AES解密后，解压释放出demo.dll并加载其导出函数plugin_lock()，相关代码如下图所示：

随后，经历调试解密yhlock.7z成PE文件后：

该文件内存中加载后会继续从down.qm188[.]com/check.7z下载一个同样使用AES加密的压缩包，解密解压缩后包含一个Lock.dll并加载执行(PDB信息：d:\浏览器相关\Lock\release\Lock.pdb)，调试解密check.7z成PE文件：

狡猾躲避杀软监测展开魔道斗法

山东、福建、四川网友叫苦不迭

值得一提的是，该DLL文件封装了针对市面上超过15款主流浏览器的劫持修改函数：

而demo.dll则主要执行：

1、篡改浏览器收藏夹，静默替换收藏项链接；

2、篡改浏览器Cookie

3、安装浏览器扩展(具备劫持功能)；

4、获取浏览器历史浏览记录

5、锁定浏览器主页，其中包含：

www.hao123.com/?tn=98625814_hao_pg

daohang.qq.com.cn0d.qq.1230578.com/%d.html

123.sogou.com.cnsg.123.1234034.com/%d.html

www.2345.com.cn.2345.hao3603.com/%d.html

判断杀软，修改IE浏览器主页的相关代码

篡改浏览器的cookie会修改host_key为.hao123.com的cookie部分代码

另外锁定的导航链接并不是确定不变的，而是通过生成随机数来拼接出随机的导航链接地址，并通过随机数控制一定机率来选择锁定为host和不同二级域名的链接，此举可能是为了躲避对抗某些杀软和浏览器对被篡改为同一链接的监控，相关代码如下图所示：

而遭受该木马影响的主要用户区域分布，似乎和一般其它木马分布不太一致，山东、福建、四川的网友成为主要受害人群。

由此次劫持木马蔓延案例不难看出，伴随网络空间形势日益严峻，计算机病毒传播形式也愈发多样化，时刻威胁到个人、企业乃至国家安全。因此，我们特别提醒用户做好以下防御措施：

1、尽快前往weishi.360.cn，下载安装360安全卫士，有效拦截各类病毒木马病毒攻击，保护电脑隐私及财产安全；

2、在下载游戏时，尽量使用正规下载渠道；

3、对于杀毒软件报毒的程序，不要轻易添加信任或退出杀软运行。

IOCs

SHA256:

58585cce567dd95e1308c6b1d6af902dcbf99d9b9826151588906fccc69f2a1d

abf1790d6519fd9637c3ab82f22f545f05e35bfb66e37d6a1190356b83a74c0f

9dae81e29b91d7363369094b948c0f217b1a325d74b3ca4e04e348ee7506f9f9

URL

down.qm188[.]com/check.7z

down.qm188[.]com/yhlock.7z

www.2345[.]com/?32772-0009

www.hao123[.]com/?tn=98625814_hao_pg

daohang.qq.com.cn0d.qq.1230578[.]com/%d.html

123.sogou.com.cnsg.123.1234034[.]com/%d.html

www.2345.com.cn.2345.hao3603[.]com/%d.html

hao.360.cn.com.360.1230578[.]com/%d.html

hao.360.cn.com.360.hao3603[.]com/%d.html

bz.dashi88[.]com/?scj

yx.hao3603[.]com

bd.hao3603[.]com

tm.hao3603[.]com

CRX ID

mhcakmpdiokfhiladgifhfklgmnniohn轻度新标签页

注意{:14_353:}{:14_353:}